AUDYT BEZPIECZEŃSTWA INFORMACJI w praktyce

Podobne dokumenty
Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

INSTRUKCJA postępowania w sytuacji naruszenia ochrony danych osobowych w Urzędzie Miasta Ustroń. I. Postanowienia ogólne

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

współadministrator danych osobowych, pytania i indywidualne konsultacje.

PRZETWARZANIE DANYCH OSOBOWYCH

Nadzór nad systemami zarządzania w transporcie kolejowym

ZARZĄDZENIE Nr 51/2015 Burmistrza Bornego Sulinowa z dnia 21 maja 2015 r.

ZARZĄDZENIE NR 11/2012 Wójta Gminy Rychliki. z dnia 30 stycznia 2012 r. w sprawie wdrożenia procedur zarządzania ryzykiem w Urzędzie Gminy Rychliki

REGULAMIN KONTROLI ZARZĄDCZEJ W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W TOLKMICKU. Postanowienia ogólne

BEZPIECZEŃSTWO INFORMACYJNE I CYBERNETYCZNE

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ.... (nazwa praktyki) wydana w dniu... przez...

I. Postanowienia ogólne

ZARZĄDZENIE NR 82/15 WÓJTA GMINY WOLA KRZYSZTOPORSKA. z dnia 21 lipca 2015 r.

PROCEDURA OCENY RYZYKA ZAWODOWEGO. w Urzędzie Gminy Mściwojów

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Gdańsku

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO

ZESTAWIENIE UWAG. na konferencję uzgodnieniową w dn r. poświęconą rozpatrzeniu projektu. rozporządzenia Prezesa Rady Ministrów

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik nr 7 DO UMOWY NR. O ŚWIADCZENIE USŁUG DYSTRYBUCJI PALIWA GAZOWEGO UMOWA O WZAJEMNYM POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Łabiszynie

Polityka prywatności strony internetowej wcrims.pl

Załącznik nr 8. Warunki i obsługa gwarancyjna

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (zwana dalej Umową )

Polityka Bezpieczeństwa Ochrony Danych Osobowych

KRYTERIA DOSTĘPU. Działanie 2.1,,E-usługi dla Mazowsza (typ projektu: e-administracja, e-zdrowie)

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia

Opis przedmiotu zamówienia dla części 1 oraz dla części 2 zamówienia. Załącznik nr 1 do SIWZ

Instrukcja Obsługi STRONA PODMIOTOWA BIP

Statut Audytu Wewnętrznego Gminy Stalowa Wola

Polityka bezpieczeństwa danych osobowych w Fundacji PCJ Otwarte Źródła

Wprowadzam w Urzędzie Marszałkowskim Województwa Małopolskiego Kartę Audytu Wewnętrznego, stanowiącą załącznik do niniejszego Zarządzenia.

ZARZĄDZENIE NR 21/2015 WÓJTA GMINY IWANOWICE Z DNIA 12 PAŹDZIERNIKA 2015 ROKU w sprawie ustalenia wytycznych kontroli zarządczej.

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Barcinie

POLITYKA PRYWATNOŚCI

Oświęcim, dnia 26 listopada 2013r. Państwowe Muzeum Auschwitz-Birkenau w Oświęcimiu ul. Więźniów Oświęcimia Oświęcim

Polityka bezpieczeństwa przetwarzania danych osobowych w Ośrodku Pomocy Społecznej w Łazach

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Miejskim w Miłakowie

ZARZĄDZENIE NR 243/2007 PREZYDENTA MIASTA KRAKOWA Z DNIA 7 lutego 2007 roku

Instrukcja zarządzania bezpieczeństwem Zintegrowanego Systemu Zarządzania Oświatą

ZAPYTANIE OFERTOWE. Tel/FAKS w46 ; Ogłoszenie na stronie internetowej

KOMISJA WSPÓLNOT EUROPEJSKICH, uwzględniając Traktat ustanawiający Wspólnotę Europejską, ROZDZIAŁ 1

Rozdział 1 - Słownik terminów.

U M O W A. NR PI.IT z dnia. roku

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

SYSTEM ZARZĄDZANIA JAKOŚCIĄ DOKUMENT NADZOROWANY. Realizacja auditu wewnętrznego Systemu Zarządzania Jakością

Umowa w sprawie przesyłania faktur elektronicznych

NOWE I ISTNIEJĄCE SYSTEMY ADMINISTRACJI PUBLICZNEJ W ŚWIETLE ROZPORZĄDZENIA KRAJOWYCH RAM INTEROPERACYJNOŚCI

RZECZPOSPOLITA POLSKA MINISTER CYFRYZACJI

Ochrona danych osobowych w oświacie z punktu widzenia samorządu jako organu prowadzącego

DZIENNIK URZĘDOWY MINISTRA CYFRYZACJI

INSTRUKCJA RUCHU I EKSPLOATACJI SIECI DYSTRYBUCYJNEJ

Zarządzenie Nr 339/2011 Prezydenta Miasta Nowego Sącza z dnia 17 października 2011r.

Administrator Konta - osoba wskazana Usługodawcy przez Usługobiorcę, uprawniona w imieniu Usługobiorcy do korzystania z Panelu Monitorującego.

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Gminy Wągrowiec

Kontrola na miejscu realizacji projektu Procedury i zarządzanie projektem Archiwizacja

SZKOLENIE RBDO: OCHRONA DANYCH OSOBOWYCH 2016 PRZEPISY I OBOWIĄZKI ORAZ PERSPEKTYWY ZMIAN UE

Regulamin korzystania z serwisu

U M O W A. zwanym w dalszej części umowy Wykonawcą

Systemy monitoringu wizyjnego Avigilon w zabezpieczeniu obiektów logistycznych.

Wersja z dn r.

PROGMEDICA System Zarządzania zgodnością w Szpitalu WOLTERS KLUWER DLA SZPITALI

Kontrola na zakończenie realizacji projektu. Trwałość projektu

Umowa o powierzanie przetwarzania danych osobowych

Przetwarzanie danych osobowych przez przedsiębiorców zagrożenia i wyzwania Monika Krasińska Dyrektor Departamentu Orzecznictwa Legislacji i Skarg

Regulamin Pracy Komisji Rekrutacyjnej w Publicznym Przedszkolu Nr 5 w Kozienicach

1. Proszę krótko scharakteryzować firmę którą założyła Pani/Pana podgrupa, w zakresie: a) nazwa, status prawny, siedziba, zasady zarządzania (5 pkt.

PROCEDURA PPZ-1. Nadzór nad dokumentami i zapisami SPIS TREŚCI

POLITYKA JAKOŚCI. Międzyzakładowej Spółdzielni Mieszkaniowej Energetyka

Regulamin serwisu internetowego ramowka.fm

Faktury elektroniczne a e-podpis stan obecny, perspektywy zmian. Cezary Przygodzki, Ernst & Young

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Gminy Kampinos

Zarządzenie Nr 309/KU/07 Prezydenta Miasta Słupska z dnia 02. kwietnia 2007 r.

Lublin, Zapytanie ofertowe

SYSTEM WEWNETRZNEJ KONTROLI JAKOSCI PODMIOTU UPRAWNIONEGO DO BADANIA SPRAWOZDAN FINANSOWYCH

Załącznik Nr 1 do zarządzenia Burmistrza Gminy Brwinów nr z dnia 29 marca 2011 roku

Oferta kompleksowego serwisu sprzętu komputerowego dla przedsiębiorstw, instytucji oraz organizacji.

Załącznik nr 1 do Regulaminu ochrony danych osobowych Uniwersytetu Marii Curie- Skłodowskiej w Lublinie POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

OPIS PRZEDMIOTU ZAMÓWIENIA DO ZAPYTANIA KE1/POIG 8.2/13

WYTYCZNE BEZPIECZEŃSTWA INFORMACJI DLA KONTRAHENTÓW I JEDNOSTEK ZEWNĘTRZNYCH

z dnia 6 lutego 2009 r.

ZARZĄDZENIE NR 713 DYREKTORA GENERALNEGO SŁUŻBY WIĘZIENNEJ z dnia \ 0 marca 2013 r.

IZBA CELNA WE WROCŁAWIU Wrocław, dnia 30 kwietnia 2012 r. Ul. Hercena Wrocław

wzór Załącznik nr 5 do SIWZ UMOWA Nr /

TWORZENIE I NADZOROWANIE DOKUMENTÓW SYSTEMOWYCH (PROCEDUR, KSIĘGI JAKOŚCI I KART USŁUG) SJ Data:

Standardy Kontroli Zarządczej. Załącznik Nr 1 do Zarządzenia Nr 28 /11 Burmistrza Miasta Hajnówka z dnia 31 marca 2011 r. A. Środowisko wewnętrzne

Zarządzenie Nr 12 /SK/2010 Wójta Gminy Dębica z dnia 06 kwietnia 2010 r.

Tomice, dnia 15 lutego 2012 r.

Odpowiedzi na pytania zadane do zapytania ofertowego nr EFS/2012/05/01

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Załącznik nr 2 do IPU UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2015 r. w Warszawie zwana dalej Umową, pomiędzy:

Wymagania dotyczące bezpieczeństwa informacji i baz danych zawarte w obowiązujących w Polsce aktach prawnych

RAPORT Z AUDITU. polski Reie.tr Sictkón, Biuro Certyfikacji NR NC /P6 PN-EN ISO 9001:2009

Zaadresowanie bezpieczeństwa informacji w projektach podmiotów publicznych wymagania Krajowych Ram Interoperacyjności

Procedura nadawania uprawnień do potwierdzania, przedłuŝania waŝności i uniewaŝniania profili zaufanych epuap. Załącznik nr 1

I ZASADY BHP i OCHRONY ŚRODOWISKA W P. H. ELMAT SP. Z O. O.

Prawa i obowiązki pracownika oraz pracodawcy w zakresie BHP

Kwestionariusz Samooceny Kontroli Zarządczej

zone ATMS.zone Profesjonalny system analizy i rejestracji czas pracy oraz kontroli dostępu

Transkrypt:

AUDYT BEZPIECZEŃSTWA INFORMACJI w praktyce wybrane aspekty metodyki Piotr Wojczys CISA, CICA

ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok ( 20 ust.2 pkt 14). Główne obiekty audytu zawiera Rozdział IV - Minimalne wymagania dla systemów teleinformatycznych 20 ust.2 - działania systemowe ; 21 ust.1 i ust. 2 - rozliczalność działań w systemach teleinformatycznych ;

Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; 3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; 4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji; 5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4; 6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) Stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich; 7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: a) monitorowanie dostępu do informacji, b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji; 8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; 9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; 10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; 11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych; 12) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: a) dbałości o aktualizację oprogramowania, b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, e) zapewnieniu bezpieczeństwa plików systemowych, f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa; 13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Czym jest bezpieczeństwo informacji? System zarządzania bezpieczeństwem informacji powinien zapewniać: Poufność informacji (tylko osoby uprawnione mogą mieć dostęp do danej informacji); Dostępność informacji (informacja powinna być cały czas dostępna dla osób uprawnionych); Integralność informacji (informacje nie mogą zostać zmienione w sposób nieuprawniony, informacja ma być zgodna oczekiwaniami i kompletna).

1. Aktualizacja regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia 1. - Polityka Bezpieczeństwa Przetwarzania Danych Osobowych - Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Kto jest opowiedziany za aktualizację w/w? 2. Przeglądy dokumentacji PBI (regularne i udokumentowane). 3. Usytuowanie ABI w strukturze organizacyjnej? 4. Indywidualne zakresy obowiązków odpowiedzialności i uprawnień kluczowych osób (ABI, informatycy). 5. Zgłaszanie zbiorów danych osobowych GIODO / własny rejestr zbiorów prowadzony przez ABI 6. Podpisywanie umów powierzenia przetwarzania danych osobowych. 7. Podpisywanie upoważnień do przetwarzania danych osobowych. Kto i na jakiej } podstawie? Punktem wyjścia jest polityka bezpieczeństwa informacji (PBI) - zestaw przemyślanych, udokumentowanych zasad i procedur bezpieczeństwa wraz z ich planem wdrożenia i egzekwowania.

Dobra polityka bezpieczeństwa informacji to polityka, którą rozumiemy. Polityka bezpieczeństwa informacji to wyrażona przez kierownictwo ogólna intencja i kierunki działań dla zachowania poufności, integralności i dostępności informacji. Propozycja struktury dokumentów PBI: Ogólna PBI - Mało zmienna w czasie - Zawartość (treść) umożliwia jej opublikowanie (np. na stronach internetowych organizacji). - Nie epatuje terminami i nazwami technicznymi. Polityka Rachunkowości Polityka bezpieczeństwa przetwarzania danych osobowych Zasady korzystania z Internetu i poczty elektronicznej Polityka bezpieczeństwa fizycznego i technicznego??? Opis systemu informatycznego, wraz z opisem algorytmów i parametrów oraz programowych zasad ochrony danych, w tym w szczególności metod zabezpieczenia dostępu do danych i systemu ich przetwarzania. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Regulamin użytkowania urządzeń mobilnych Instrukcja bezp. fizycznego i technicznego

2. Aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację. 1. Podstawowa ewidencja sprzętu informatycznego w ramach ewidencji majątkowej. Spisy inwentarzowe. 2. Rejestry/ewidencje elementów infrastruktury IT prowadzone przez służby informatyczne. Schematy sieci komputerowej. 3. Przypisanie konkretnym osobom obowiązków w zakresie prowadzenia ewidencji - w tym oprogramowania i nośników oprogramowania (niezależnie od monitorowania legalności eksploatowanego oprogramowania). 4. Ewidencja oprogramowania (licencje!).

3. Okresowe analizy ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowanie działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy. 1. Identyfikacja krytycznych informacji, ich zbiorów i dróg przepływu oraz związanej z tym infrastruktury + ich klasyfikacja informacji. 2. Okresowe, udokumentowane analizy ryzyka odnoszące się do BI. 3. Właściciele ryzyk w obszarze BI. Przypisanie konkretnym osobom obowiązków w tym zakresie. 4. Bieżące działania minimalizujące ryzyka w zakresie BI.

4. Działania zapewniające, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji. 1. Zasada stosowania indywidualnych kont w systemach informatycznych. 2. Autoryzacja jako warunek istnienia konta. Upoważnienie nadane przez właściwą osobę (nie zawsze przełożony, jeśli nie jest Właścicielem ). (czas na jaki nadawane są uprawnienia i ich zakres, także w kontekście UODO). 3. Upoważnienia do przetwarzania danych osobowych wydanych imieniu ADO (oraz rejestr tych upoważnień). 4. Rozdział obowiązków w komórce IT.

Właściwy podział obowiązków. Najgorsza sytuacja to taka, w której uprawnienia administratora wszystkich kluczowych zasobów IT posiada jedna osoba. Co więcej, w małych organizacjach zdarza się, że ta osoba jest jednocześnie ABI! Matryca rozdzielenia obowiązków w obszarze IT zalecany sposób podziału obowiązków dla zachowania bezpieczeństwa i unikania konfliktu interesów czy nadzorowania samego siebie* Jeśli pewnych funkcji personelu nie można z jakichś powodów rozdzielić należy stosować dodatkowe mechanizmy kontrolne o charakterze kompensującym. Dużo zależy od wielkości organizacji i ilości personelu IT. Wskazówka. Sprawdzić jaki rzeczywisty dostęp do poszczególnych systemów mają poszczególne osoby (konta z uprawnieniami administratora), nie ograniczać się do formalnych zakresów obowiązków. *patrz: www.isaca.org

5. Bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4. 1. Zasada stosowania indywidualnych kont w systemach informatycznych! 2. Zasady wycofywania uprawnień. 3. Mechanizmy wycofywania uprawnień. 4. Zapobieganie rolowaniu uprawnień.

SKUTKI STOSOWANIA PAPIEROWYCH OBIEGÓWEK Odejście pracownika 1 zgon, porzucenie pracy 2 martwe dusze 3 obiegówka nie dociera do ABI / ABT 5 1 4 zawodzi ABI/ ABT (albo jest niedostępny) 5 zawodzi ASI (albo jest niedostępny) Usunięcie lub zablokowanie konta

6. Szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich. 1. Szkolenia kluczowych pracowników. 2. Szkolenia pozostałych pracowników.

7. Ochrona przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: a) monitorowanie dostępu do informacji, b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji. 1. Bieżące czynności monitorowania dostępu w tym logi (serwery, systemy, urządzenia sieciowe). 2. Podstawowe elementy ochrony przed nieautoryzowanymi działaniami związanymi z przetwarzaniem informacji: ochrona sieci na poziomie portów LAN (standard IEEE 802.1X); BIOS; centralny system kontroli dostępu logicznego do pojedynczych komputerowych stanowisk pracy, serwerów i zasobów sieci - na poziomie domeny Windows (usługa katalogowa Active Directory); niezależne od domenowych systemy kontroli dostępu logicznego do kluczowych systemów informatycznych; system ochrony zewnętrznej klasy firewall (urządzanie sieciowe UTM); system ochrony zewnętrznego dostępu logicznego (urządzanie sieciowe-serwer VPN); zabezpieczenie kodem PIN dostępu do wydruków; stosowanie tokenów z hasłami jednorazowymi.

8. Podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość. 1. Regulacje wewnętrzne jednostki zakresie zdalnego dostępu do zasobów informatycznych / pracy na odległość. 2. Przypadki wykonywania telepracy? 3. Zakres i tryb dostępu do własnych zasobów IT w umowach zawieranych z podmiotami zewnętrznymi. 4. Zdalny, okazjonalny dostęp własnych pracowników (zwłaszcza pracowników IT).

9. Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie. 1. Nośniki danych (dyski, macierze, taśmy płyty ). 2. Miejsca eksploatacji / przechowywania nośników danych. 3. Nośniki wycofywane z eksploatacji. + także metody kryptograficzne, patrz punkt 12 dalej

10. Zapisy w umowach serwisowych, podpisanych ze stronami trzecimi, gwarantujące odpowiedni poziom bezpieczeństwa informacji. Umowy powierzenia przetwarzania danych osobowych + zobowiązanie do przekazania opisu struktury zbiorów danych systemu, wskazując zawartość poszczególnych pól informacyjnych i powiązania między nimi. Zobowiązania do zachowania tajemnicy państwowej i służbowej? Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (obowiązująca od 02.01.2011) nie wskazuje już i nie określa pojęcia tajemnicy państwowej oraz tajemnicy służbowej. Tajemnica przedsiębiorstwa (Usługodawca) vs. tajemnica jednostki (Zamawiającego). np.. Strony zobowiązują się wzajemnie do zachowania w poufności wszelkich informacji, jakie uzyskały w związku z zawarciem, wykonywaniem i rozwiązaniem umowy, co do których mogą powziąć podejrzenie, że są informacjami poufnymi lub że jako takie są traktowane przez drugą stronę. W razie wątpliwości, co do charakteru danej informacji, przed jej ujawnieniem strona zwróci się do drugiej strony o wskazanie, czy informację tę należy traktować jako poufną. Stosowanie w umowach zapisów umożliwiających dokonanie niezależnej oceny, w obszarze bezpieczeństwa informacji, na przykład poprzez: - audyt przedmiotu umowy przez stronę trzecią wskazana przez Zamawiającego; - zobowiązane Dostawcy do przeprowadzania niezależnego audytu/kontroli bezpieczeństwa informacji i przedstawienia jego wyników Zamawiającemu.

11. Zasady postępowania z informacjami, zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych. 1. Podstawowym ogólnym środkiem ochrony przed kradzieżą informacji są zasady przyjęte w dokumentach PBI. 2. Zasady ochrony fizycznej (np. Polityka Bezpieczeństwa Fizycznego i Technicznego). 3. Ochrona logiczna zbieżna z 12 obiektem audytu + systemy DLP (Data Leak/Leakage/Loss Protection/Prevention)

12. Zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: a) dbałości o aktualizację oprogramowania, b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, e) zapewnieniu bezpieczeństwa plików systemowych, f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.

13. Zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących. 1. Pojęcie incydentu naruszenia bezpieczeństwa informacji. 2. Ścieżka obsługi incydentu naruszenia bezpieczeństwa informacji. 3. Raportowanie do najwyższego kierownictwa. Incydent związany z bezpieczeństwem informacji to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. PN-ISO/IEC 27001:2007 wg ISO/IEC TR 18044:2004

14. Zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. 15. Rozliczalność działań użytkowników lub obiektów systemowych w systemach teleinformatycznych ( 21 rozporządzenia w sprawie KRI) 1. Rozliczalność w systemach teleinformatycznych podlega wiarygodnemu dokumentowaniu w postaci elektronicznych zapisów w dziennikach systemów (logach). 2. W dziennikach systemów odnotowuje się obligatoryjnie działania użytkowników lub obiektów systemowych polegające na dostępie do: 1) systemu z uprawnieniami administracyjnymi; 2) konfiguracji systemu, w tym konfiguracji zabezpieczeń; 3) przetwarzanych w systemach danych podlegających prawnej ochronie w zakresie wymaganym przepisami prawa. 1. Identyfikatory i hasła do kont uprzywilejowanych (administratora). 2. Zawartość logów (identyfikatory użytkowników, czas i data logowań) NTP! 3. Miejsce przechowywania logów oraz ich nienaruszalność. 4. Retencja logów.

Przykład elementów procedury audytowej - implementacja IDS 1. Ocenić poziom otwarcia zasobów informacyjnych organizacji dla osób z zewnątrz. 2. Czy określone zostały krytyczne zasoby IT służące do przechowywania i przetwarzania informacji organizacji? 3. Które z nich są najbardziej podatne na ataki np. DoS? 4. Czy dostęp do krytycznych zasobów jest monitorowany przez system IDS? 5. Czy monitorowanie obejmuje ruch sieciowy generowany przez użytkowników z wewnątrz sieci firmowej? 6. Kto konfiguruje system IDS? Kto instaluje zaktualizowane oprogramowanie IDS? 7. Kto monitoruje alerty generowane przez IDS? 8. W jaki sposób przesyłane są alerty do odpowiedzialnego administratora? 9. Czy IDS ma narzędzie generowania podsumowującego dobowe zapisy w swoim logu? 10. Jak długo informacja z logu jest dostępna (retencja)? 11.Jaki jest mechanizm aktualizacji sygnatur ataków dla systemu IDS?

Istotne zmiany aktualizacja norm serii 27000 ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems -- Requirements ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls (wcześniej ISO/IEC 17799 - Praktyczne zasady zarządzania bezpieczeństwem informacji) Ilość zabezpieczeń (controls) zmniejszyła się ze 133 do 114. Ilość sekcji wzrosła z 11 do 14. Wytyczne do zarządzania ryzykiem przeniesienie środka ciężkości z normy ISO 27005 (Zarządzanie ryzykiem w bezpieczeństwie informacji) na ISO 31000 (Zarządzanie ryzykiem -- Zasady i wytyczne). Pojęcie właściciela zasobów/aktywów zastąpiono terminem właściciel ryzyka.

Dziękuję za uwagę piotr.wojczys@gdansk.gda.pl piotr.wojczys@gmail.com

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres